Klaim gangguan bisnis siber: tantangan unik di ranah digital

Asia merupakan rumah bagi lebih dari setengah pengguna internet di dunia. Perusahaan-perusahaan memanfaatkan aktivitas online masyarakat Asia untuk menjangkau pelanggan baru dan existing, mengembangkan produk baru, serta meningkatkan efisiensi proses. Manfaat dari peluang ini disertai dengan risiko unik yang tidak ditangani oleh polis asuransi gangguan bisnis (BI) tradisional. Namun, risiko tersebut dapat dikelola dengan perlindungan BI dari polis cyber mandiri. 

Seiring dengan pergeseran dari dunia fisik ke dunia digital, klaim BI siber menghadirkan tantangan unik – beberapa di antaranya familiar, beberapa berbeda, dan yang lainnya sangat berbeda dari klaim BI tradisional. 

Yang sudah dikenal

Seperti halnya semua klaim asuransi, hubungan kausal antara insiden dan kerugian harus dibuktikan. Hal ini dikenal dalam asuransi BI tradisional sebagai klausul kerugian material. Polis asuransi BI siber serupa, tetapi alih-alih kerugian material, pertanggungan dapat diaktifkan oleh adanya pelanggaran aktual atau dugaan terhadap sistem IT pemegang polis. Agar kerugian dapat ditanggung, kerugian tersebut harus timbul dari insiden yang dijamin. 

Jenis perlindungan yang ditawarkan oleh polis BI tradisional dan cyber juga cukup mirip. Perlindungan dapat diberikan berdasarkan pendapatan bruto atau laba bruto, serta berdasarkan peningkatan biaya operasional. Tujuan utama adalah menempatkan pemegang polis dalam posisiseolah-olahinsiden sibertersebut tidak pernah terjadi. Insiden tersebut dapat bersifat jahat (misalnya, kebocoran data atau malware) atau lainnya (mungkin akibat tindakan atau kelalaian yang tidak disengaja). Tantangan, seperti biasa, terletak pada memisahkan kerugian hanya pada yang disebabkan oleh insiden tersebut.

Yang agak berbeda

Beberapa perbedaan halus dapat diamati saat mempertimbangkan kerugian dalam polis asuransi siber. Masa ganti rugi untuk polis BI tradisional biasanya dimulai saat terjadi kerugian fisik. Namun, pada polis BI siber, awal periode ganti rugi sangat bergantung pada ketentuan polis; bisa jadi waktu yang dinilai saat sistem diretas, atau waktu laporan insiden keamanan dibuat. Hal ini tunduk pada berakhirnya periode tunggu yang ditentukan (misalnya, waktu deductible), biasanya sekitar 12 jam. Meskipun terdengar singkat, hal ini dapat menjadi masa yang sangat mahal bagi pengecer online selama penjualan besar seperti pada Hari Jomblo. 

Polisi Asuransi Bisnis (BI) siber umumnya memiliki periode ganti rugi maksimum sekitar tiga bulan, yang jauh lebih singkat dibandingkan dengan 12 bulan yang biasa kita temui dalam polis BI tradisional. Hal ini mencerminkan sifat insiden siber yang umumnya lebih singkat, yang dapat diselesaikan lebih cepat melalui, misalnya, pemulihan cadangan data. Namun, mengidentifikasi dan memperbaiki titik kegagalan dalam sistem IT yang kompleks dapat menjadi tantangan, meskipun didukung oleh tim tanggap insiden yang khusus. 

Sangat berbeda

Karena aset dasar bersifat tidak berwujud, beberapa perbedaan signifikan muncul. Berikut adalah dua hal yang patut dipertimbangkan: 

1. Serangan ransomware

Meskipun bukan hal baru, serangan ransomware telah menjadi semakin menonjol dan kompleks, sehingga kemungkinan suatu bisnis mengalami gangguan semakin besar. Data dapat dicuri atau akses ke data tersebut diblokir (atau kombinasi keduanya), dengan pelaku pemerasan mengancam akan merilis, menghancurkan, atau memblokir akses ke data rahasia kecuali pembayaran dilakukan. Rata-rata tebusan pada tahun 2023 dilaporkan mencapai US$1,54 juta, hampir dua kali lipat dari angka pada tahun 2022.

Dalam beberapa kasus, membayar tebusan mungkin tampak sebagai opsi termurah dan paling efektif. Beberapa polis asuransi bahkan menanggung biaya pembayaran tebusan tersebut. Keputusan akhir apakah akan melakukan pembayaran ada di tangan perusahaan — tetapi, apakah mereka seharusnya membayar?

Meskipun mungkin menggoda untuk menuruti tuntutan dengan harapan data dapat dipulihkan dengan cepat, bukti tidak mendukung hal ini. Sekitar seperempat dari mereka yang membayar tidak pernah memulihkan data mereka, dan bahkan jika sebagian data berhasil dipulihkan, sebagian besar organisasi membutuhkan lebih dari seminggu untuk pulih dari serangan ransomware. Tidak ada jaminan bahwa serangan akan berakhir atau terselesaikan — poin ini juga ditekankan oleh Inisiatif Anti-Ransomware 48 Negara yang dengan tegas melarang pembayaran semacam itu. Pembayaran juga dapat menjadi sumber dana untuk kegiatan kriminal dan memberikan insentif tambahan untuk melakukan serangan di masa depan. 

Perusahaan harus memutuskan apakah menolak membayar tebusan merupakan keputusan yang paling menguntungkan bagi mereka. Jika asuransi mendukung keputusan untuk tidak membayar, pertanggungan umumnya akan mencakup biaya pemulihan dan kerugian pendapatan yang secara langsung disebabkan oleh serangan tersebut.

Karena serangan ransomware dapat menimbulkan kerugian finansial yang besar dan menyebabkan downtime yang signifikan, akan bijaksana untuk secara proaktif mempersiapkan diri menghadapi insiden semacam itu. Langkah-langkah yang dapat diambil meliputi:

• Memastikan cadangan dan redundansi telah tersedia dan diperbarui.
• Melakukan audit IT secara rutin
• Mewajibkan penggunaan kata sandi yang kuat dan otentikasi multi-faktor
• Melaksanakan pelatihan dan pendidikan IT secara rutin
• Mengembangkan rencana tanggap insiden yang dapat diaktifkan dengan cepat jika diperlukan. 

Rencana-rencana tersebut hanya akan efektif jika melibatkan upaya seluruh organisasi.

• Kerusakan reputasi

Setelah serangan siber, persepsi publik terhadap perusahaan yang menjadi sasaran dapat terganggu — terutama jika data pelanggan yang sensitif bocor. Pelanggan mungkin meragukan kemampuan perusahaan untuk melindungi informasi pribadi mereka, yang dapat menyebabkan hilangnya kepercayaan dan loyalitas. Gangguan layanan juga dapat membuat pengguna beralih ke pesaing yang mempromosikan keandalan layanannya.

Banyak polis asuransi siber (cyber BI) mencakup kerugian reputasi, mengganti kerugian finansial yang timbul secara langsung akibat insiden tersebut. Cakupan untuk biaya perbaikan reputasi juga mungkin tersedia untuk mempekerjakan konsultan hubungan masyarakat (PR) guna mengurangi dampak publisitas negatif. Kesulitan terletak pada pengukuran dan penentuan kerugian pelanggan saat ini dan calon pelanggan yang disebabkan oleh insiden tersebut. Selain itu, karena banyak polis asuransi siber memiliki periode ganti rugi maksimum yang singkat, kerugian reputasi yang berlanjut di luar periode tersebut tidak akan ditanggung oleh polis. 

Masih belum ada kesimpulan pasti apakah berita tentang insiden siber telah menjadi begitu umum sehingga reputasi suatu bisnis benar-benar terganggu. Orang cenderung menganggap bisnis yang memiliki tingkat kepercayaan yang tinggi lebih rentan terhadap kerugian reputasi. Misalnya, bank online lebih rentan terhadap kerugian reputasi daripada pengecer online. 

Sama halnya dengan ransomware, pendekatan proaktif dalam mengelola kerusakan reputasi mungkin lebih efektif dan efisien daripada sikap reaktif. Selain langkah-langkah yang tercantum di atas, landasan utama haruslah komunikasi yang jelas dan efektif dengan pemangku kepentingan — kunci untuk membangun kembali kepercayaan dan mempertahankan reputasi. 

Kesimpulan

Klaim BI siber memiliki beberapa karakteristik yang mirip dengan klaim BI tradisional, tetapi lingkungan digital menimbulkan beberapa pertanyaan unik. Ketika suatu bisnis menghadapi kerugian akibat klaim BI siber, sangat penting untuk bekerja sama dengan mitra tepercaya yang memiliki keahlian dalam seluk-beluk klaim BI siber untuk membantu mereka memitigasi dampaknya yang luas.

> Pelajari lebih lanjut — baca tentang layanan akuntansi forensik Sedgwick layanan akuntansi forensik dan kemampuan penanganan gangguan bisnis di Asia atau kirim email [email protected] untuk informasi lebih lanjut